Das EU-Gesetz zur Widerstandsfähigkeit gegen Cyberangriffe: Eine Roadmap für Hersteller

By
4 Minutes Read

Der EU Cyber Resilience Act (CRA) stellt einen wichtigen regulatorischen Meilenstein im Bereich der Cybersicherheit dar. Es handelt sich keineswegs um eine eng gefasste Verbraucherschutzmaßnahme, sondern um eine umfassende Regelung für Produkte mit digitalen Elementen - ob Hardware oder Software -, die in der Europäischen Union angeboten werden. Ähnlich wie die Allgemeine Datenschutzverordnung (GDPR) wird die CRA voraussichtlich die globalen Cybersicherheitspraktiken prägen, indem sie Organisationen zur Einführung strengerer Standards und transparenterer Dokumentation zwingt. Doch was genau beinhaltet diese Verordnung, und wie können sich Hersteller, Händler und Nutzer effektiv vorbereiten?

Warum die CRA wichtig ist: Mehr als grundlegender Verbraucherschutz

Auf den ersten Blick könnte man annehmen, dass die CRA lediglich ein zusätzliches Verbraucherschutzgesetz ist. In Wirklichkeit ist sie viel umfassender. Jedes in der EU verkaufte Produkt, das eine digitale Verbindung herstellt - sei es durch Software-Updates oder Netzwerkkommunikation - muss der CRA entsprechen. Diese globale Auswirkung bedeutet, dass Hersteller weltweit die Anforderungen erfüllen müssen, um den Marktzugang zu erhalten.

Bedenken Sie: Wenn Ihr Produkt Daten in irgendeiner Form sammelt, speichert oder überträgt, wie gut sind Sie dann darauf vorbereitet, seine Sicherheitsmerkmale und seine ständige Widerstandsfähigkeit gegen Cyber-Bedrohungen nachzuweisen? Die CRA zwingt Unternehmen dazu, sich mit dieser Frage auseinanderzusetzen.

Hauptziele des EU-Gesetzes zur Cyber-Resilienz

Die Kernziele des CRA sind sowohl praktisch als auch zukunftsorientiert:

  1. Schaffung eines harmonisierten Rahmens für die Cybersicherheit
    Durch die Konsolidierung der verschiedenen Cybersicherheitsvorschriften in einer einheitlichen Struktur will die EU die Komplexität verringern und branchenübergreifend einheitliche Standards gewährleisten.
  2. Sichere und widerstandsfähige digitale Produkte gewährleisten
    Die Produkte müssen so konzipiert sein, dass sie aktuellen und neuen Cyber-Bedrohungen standhalten. Diese Betonung der "standardmäßigen Sicherheit" umfasst alles von der Risikobewertung bis zu sicheren Konfigurationen.
  3. Förderung der Transparenz von Sicherheitseigenschaften
    Unternehmen müssen klare, leicht zugängliche Informationen über die Cybersicherheitsfunktionen ihrer Produkte bereitstellen, einschließlich der Verwaltung von Updates und Patches..
  4. Aufrechterhaltung der Sicherheit während des gesamten Produktlebenszyklus
    Die Verantwortung für die Cybersicherheit endet nicht an der Verkaufsstelle. Die Hersteller müssen ihre Produkte im Laufe der Zeit aktualisieren, überwachen und kontinuierlich sichern.

Stellen Sie sich die CRA als ein strukturiertes Sicherheitsnetz vor, das den gesamten Lebenszyklus eines digitalen Produkts abdeckt und Schwachstellen auffängt, bevor sie zu kritischen Fehlern werden.

 

Umfang und Ausschlüsse: Klärung der Grenzen

Die CRA gilt für alle Produkte mit digitalen Elementen, d. h. Hardware oder Software, die eine Verbindung zu einem Netz herstellen oder Datenaktualisierungen empfangen kann. Diese breite Kategorie reicht von alltäglichen Verbrauchergeräten (wie Smart-Home-Systemen) bis hin zu spezialisierten Industrieanlagen.

Wichtigste Ausschlüsse

  • Medizinische Geräte und In-vitro-Diagnostik
    Automobilindustrie und zivile Luftfahrt
    Schiffsausrüstung
    Ersatzteile für identische Ersetzungen
    Produkte, die ausschließlich für Zwecke der nationalen Sicherheit oder Verteidigung bestimmt sind

Für diese Ausnahmen gibt es oft eigene sektorspezifische Regelungen, was den Versuch der EU widerspiegelt, sich überschneidende Anforderungen zu vermeiden.

Kernanforderungen: Sicherheit von Grund auf aufbauen

1. Grundlegende Sicherheitsanforderungen

Die Hersteller müssen solide Cybersicherheitsmaßnahmen ergreifen und nachweisen, dass ihre Produkte so konzipiert wurden, dass die Risiken minimiert werden. Bei der Markteinführung sollten keine bekannten ausnutzbaren Schwachstellen vorhanden sein.

2. Konformitätsbewertung und EU-Konformitätserklärung

Bevor die Produkte auf den Markt kommen, müssen sie einer Konformitätsbewertung unterzogen werden. Technische Unterlagen, Risikobewertungen und Prüfberichte bilden die Grundlage für diesen Prozess.

3. Gründliche Dokumentation

Umfassende Dokumentation sorgt für Transparenz und Rechenschaftspflicht. Dies umfasst:

  • Risikobewertungen mit Angaben zu potenziellen Bedrohungen
  • Entwurfsinformationen zur Beschreibung der Sicherheitsarchitektur
  • Schwachstellenmanagement-Prozesse, die erklären, wie Probleme identifiziert und entschärft werden

4. Benutzerhinweise und Informationen

Von Richtlinien für die sichere Installation bis hin zu Anweisungen für die Außerbetriebnahme müssen die Hersteller die Benutzer über die besten Praktiken zur Aufrechterhaltung der Produktsicherheit informieren.

Cybersecurity by Design: Annahmen neu überdenken

Die Betonung der CRA auf "Cybersicherheit durch Design" stellt eine Grundannahme vieler Unternehmen in Frage: dass Software oder Hardware "wie sie ist" geliefert und später gepatcht werden kann. Stattdessen verlangt die Verordnung proaktive Sicherheitsmaßnahmen:

  • Sichere Standardkonfigurationen zur Minimierung der ausnutzbaren Einstellungen
  • Automatische Sicherheitsupdates, die während des gesamten Lebenszyklus des Produkts fortgesetzt werden
  • Mechanismen zur Verhinderung unbefugten Zugriffs und zur Gewährleistung der Vertraulichkeit von Daten


Fragen Sie sich: "Was wäre, wenn mein Produkt vollständig von böswilligen Akteuren angegriffen würde? Welche Designelemente würden sofort angegriffen werden, und wie kann ich sie von Anfang an schützen?”

 

Umgang mit Schwachstellen: Laufende Verantwortung

Selbst die sichersten Produkte können mit der Zeit Schwachstellen aufweisen. Die CRA schreibt einen systematischen Ansatz zur Ermittlung, Dokumentation und Behebung potenzieller Schwachstellen vor:

  • Test- und Überprüfungsprotokolle: Regelmäßige Bewertung der Produktleistung im Hinblick auf neue Bedrohungen.
  • Austausch von Informationen: Koordinieren Sie sich mit Partnern und Kunden, um entdeckte Schwachstellen umgehend zu beheben.
  • Rechtzeitige Sicherheitsupdates: Bereitstellung von Patches und Korrekturen, sobald Probleme erkannt werden, um das Zeitfenster für die Gefährdung zu minimieren.

Dieser Ansatz ähnelt den Praktiken, die in anderen regulierten Sektoren angewandt werden, wie z. B. der Schritt der Automobilindustrie zu kontinuierlichen Software-Updates, um Sicherheitsrückrufe zu bewältigen. Durch die Ausrichtung auf dieses Modell der kontinuierlichen Verbesserung können Unternehmen sowohl ihren Ruf als auch ihre Nutzer schützen.

 

Vorbereitung auf die Einhaltung der Vorschriften: Ein strukturierter Fahrplan

1. Umfang und Zeitplan klären

Bestimmen Sie, welche Produkte unter das CRA fallen und wann bestimmte Bestimmungen in Kraft treten.

2. Analysieren Sie die Lieferkette

Erstellung einer Übersicht über alle Komponenten und Drittanbieter, um Schwachstellen zu ermitteln und sicherzustellen, dass Sicherheitsmaßnahmen auf jeder Ebene durchgesetzt werden.

3. Einrichtung einer Arbeitsgruppe für Sicherheit

Bringen Sie funktionsübergreifende Teams - Technik, Recht und Betrieb - zusammen, um die Einhaltung der Vorschriften zu steuern.

4. Klassifizierung von Produkten und Definition von Lebenszyklen
Bestimmen Sie den Risikograd jedes Produkts, legen Sie fest, wie lange es unterstützt werden soll, und planen Sie die Ressourcen entsprechend.
5. Maßnahmen zur Sorgfaltspflicht umsetzen
Beheben Sie die bei der Risikobewertung aufgedeckten Lücken und dokumentieren Sie Ihre Ergebnisse.
6. Bereiten Sie sich auf Meldepflichten vor
Entwickeln Sie Verfahren zur Benachrichtigung von Behörden und Interessengruppen über Sicherheitsvorfälle.
7. Entwicklungsprozesse anpassen
Berücksichtigen Sie Cybersicherheitsanforderungen bereits in den frühesten Phasen der Produktentwicklung.

 

Betrachten Sie diese Roadmap als Ihren "CRA Compliance Blueprint", ein lebendiges Dokument, das sich mit jeder Produktiteration weiterentwickelt.

 

Die wichtigsten Erkenntnisse für einen Wettbewerbsvorteil

  • Globale Implikationen: So wie die GDPR den Datenschutz weltweit neu gestaltet hat, wird die CRA die Erwartungen an die Cybersicherheit branchenübergreifend neu definieren.
  • Sicherheit der Lieferkette: Die Sorgfaltspflicht erstreckt sich jetzt nicht mehr nur auf einen einzelnen Hersteller, sondern auch auf Zulieferer, Vertriebshändler und Partner.
  • Handeln statt Panik: Eine frühzeitige, strategische Planung ist effektiver als Hektik in letzter Minute.
  • Formalisierte Rahmenwerke: Die Nutzung etablierter Cybersicherheitsstandards (ISO, IEC) kann die Einhaltung der CRA-Richtlinien vereinfachen.
  • Zusammenarbeit und Dokumentation: Bauen Sie Kompetenzzentren auf, dokumentieren Sie alles sorgfältig und wenden Sie sich bei Bedarf an Experten.

Blick in die Zukunft: Die Einhaltung von Vorschriften in eine Chance verwandeln

In einer Zeit, in der Datenschutzverletzungen das Vertrauen der Verbraucher und den Markenwert über Nacht untergraben können, ist die CRA nicht nur eine rechtliche Hürde, sondern auch eine Chance, sich von der Konkurrenz abzuheben. Durch die Einführung erstklassiger Sicherheitspraktiken und transparenter Dokumentation können sich Hersteller als vertrauenswürdige Marktführer positionieren.

 

Würden Sie lieber auf Sicherheitsverletzungen unter dem Druck von Vorschriften reagieren oder den Ruf Ihres Produkts von Anfang an proaktiv als sicher und zuverlässig gestalten?

 

Wenn Sie diese Grundsätze verinnerlichen und Ihre Organisation entsprechend vorbereiten, können Sie nicht nur die Anforderungen der CRA erfüllen, sondern auch das Engagement Ihrer Marke für Sicherheit und Innovation stärken. Und in einer digital vernetzten Welt kann dieses Engagement der entscheidende Faktor sein, um die Loyalität der Kunden zu gewinnen und zu erhalten.
Picture of Rüdiger Klein

Rüdiger Klein

Rüdiger Klein ist geschäftsführender Gesellschafter der Teleconnect und ein Experte für die Entwicklung neuer Produkte mit dreißig Jahren Erfahrung im Marketing und Produktmanagement in der Telekommunikations- und Automobilelektronikbranche. Er ist ein ehemaliger Mitarbeiter von Alcatel Lucent und Panasonic. Er hat einen Abschluss als Elektroingenieur der RWTH Aachen und einen MBA der Cornell University.

Author

Recommended For You